A família de ameaças associadas à China conhecida como Mustang Panda voltou a atualizar seu arsenal: os pesquisadores da Kaspersky identificaram uma nova variante do backdoor conhecido como CoolClient que incorpora funcionalidades concebidas para roubar credenciais armazenadas em navegadores e monitorar o conteúdo da área de transferência. É uma evolução significativa do implante, e o seu aparecimento confirma que o grupo continua a definir as suas capacidades técnicas e os seus métodos operacionais.
De acordo com a análise preliminar publicada pela Kaspersky, esta versão ampliada de CoolClient já se viu em campanhas contra entidades governamentais em vários países, e nesta ocasião os atacantes recorreram à distribuição através de software legítimo fornecido pela empresa chinesa Sangfor. A técnica de usar aplicações genuínas como vector de entrega Permite aos operadores escalar o seu alcance com menos probabilidade de serem detectados por controles convencionais; pode ser tratado de manipulações na cadeia de fornecimento ou de instaladores comprometidos que incluem componentes maliciosos. Você pode consultar o relatório da Kaspersky para mais contexto na sua análise inicial: Kaspersky Securelist, e a empresa afetada identifica-se publicamente como Sangfor.
CoolClient não é novo no catálogo do Mustang Panda: desde 2022 se tinha observado como porta traseira secundária operando junto a outras ferramentas do grupo, como PlugX e LuminousMoth. A arquitetura do malware continua sendo modular e multi-etapa, aumentando-se em arquivos criptografados (.DAT) que carregam componentes conforme necessário. Esta execução em fases e seu ecossistema de plugins Permite- lhe realizar desde o reconhecimento básico do sistema até a execução em memória de módulos adicionais sem deixar artefatos fáceis de rastrear em disco.
Entre as capacidades clássicas que persistem nas variantes recentes incluem a coleta de informações da equipe (nome da equipe, versão do SO, memória, módulos carregados), operações de arquivos, keylogging, túneis TCP e funções de proxy inverso. Para se manter no sistema, CoolClient emprega persistenica mediante mudanças no Registro, a criação de serviços do Windows e tarefas agendadas, além de técnicas para evadir UAC e escalar privilégios quando necessário. Estas funções tornam a eliminação e a contenção mais complexas se não forem detectadas em breve.
O que destaca na última tanda de amostras é a inclusão de módulos focados no roubo de informações de navegadores – com famílias separadas que apontam para o Chrome, Edge e outros navegadores baseados em Chromium – e um componente específico que monitora a área de transferência. A capacidade de rastrear o título da janela ativa e um “sniffer” de credenciais de proxy HTTP que opera analisando pacotes e cabeçalhos em bruto foi também adicionada. O objetivo claro é capturar material sensível que os usuários introduzem ou copiam, desde credenciais até documentos.
Além dos infostealers de navegadores, a plataforma de plugins foi enriquecida com funcionalidades que permitem abrir shells remotos interativos, gerenciar serviços do Windows e realizar operações avançadas sobre arquivos (búsqueda, compressão ZIP, mapeamento de unidades de rede e execução remota). O shell remoto, por exemplo, cria um processo cmd.exe escondido e redeirige entrada e saída através do canal de comando e controle, o que facilita a execução manual de comandos por parte do atacante sem interação direta com a interface do usuário. Isso torna CoolClient em uma ferramenta de acesso e exploração versátil mais do que em um simples ladrão de dados.
Outra mudança operacional relevante é a forma de exfiltração: os operadores estão utilizando tokens API embebidos que apontam para serviços públicos legítimos, como Google Drive ou serviços de alojamento de arquivos, para mover dados roubados fora da rede comprometida. Empregar plataformas públicas com tráfego aparentemente válido é uma técnica conhecida para diluir sinais de alarme e complicar a correlação de atividade maliciosa nos sistemas de detecção.
Os pesquisadores também apontam indícios de que o CoolClient foi utilizado como vetor para implantar um rootkit nunca antes observado em ambientes comprometidos, embora a descrição técnica detalhada desse componente permaneça para um relatório posterior. A introdução de código no modo kernel aumenta drasticamente a capacidade de persistência e ocultação, e coloca um desafio sério para a recuperação completa do ambiente em causa.
Para defensores e administradores, a conclusão é clara: é preciso elevar a vigilância. Rever a integridade de instaladores e atualizações de software, validar assinaturas e origens, e segmentar os ambientes onde se desdobra software sensível são medidas que ajudam a reduzir a superfície de ataque. Monitorizar mudanças no Registro, criar serviços inesperados e tarefas agendadas, bem como o tráfego saliente para serviços de armazenamento em nuvem, pode oferecer sinais precoces de compromisso. No plano de usuário, a proteção de credenciais com gestores de senhas que cifrem a base de dados e a adoção de autenticação multifator são barreiras adicionais contra o abuso de credenciais roubadas. A detecção precoce é decisiva para impedir que um acesso inicial se torne uma intrusão persistente.
A atividade observada nesta campanha – com objetivos governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão segundo Kaspersky – confirma que o Mustang Panda continua a explorar uma combinação de técnicas técnicas e operacionais para sustentar sua capacidade de espionagem. Nos últimos meses já haviam sido relatadas outras peças novedosas atribuídas ao grupo, o que sugere um esforço sustentado por manter e ampliar seu conjunto de ferramentas.
Aqueles que desejam aprofundar os achados técnicos e indicadores de compromisso específicos podem consultar a análise preliminar da Kaspersky na sua publicação: Kaspersky Securelist. E se a sua organização utiliza software de terceiros com origem em fornecedores internacionais, convém auditar integrações e processos de atualização com especial detalhe, incluindo fornecedores como Sangfor, que aparece mencionado na pesquisa como vetor empregado nessas campanhas.
Em suma, a atualização de CoolClient é outra amostra de que os grupos persistentes de espionagem investem em ampliar suas capacidades de coleta e sigilo. A combinação de infostealers, monitoramento da área de transferência, sniffers de proxy e módulos de kernel representa uma ameaça avançada que obriga equipamentos de segurança a revisar não só a detecção de malware clássico, mas também as práticas de gestão de software, a telemetria de rede e as defesas orientadas para proteger credenciais e dados sensíveis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...